金融サービス(finserv)組織のCISOが、保護しなければならないプライベートアプリケーション、データ、システムの広大な環境を見渡すと、管理されていないデバイスが散在していることがわかります。
特に世界的なパンデミックにより、ビジネスと生産性を強化するためのデジタルトランスフォーメーションの取り組みが加速し、待望の時期にビジネスと生産性が向上したことを考えると、これは驚くべきことではありません。それがビジネスを促進することが証明された一方で、サイバー犯罪者がフィンサーブ組織に課す標的は増え続ける一方でした。ヴイエムウェアによると 現代の銀行強盗 報告によると、金融セキュリティリーダーの74%が、過去1年間に組織で1回以上のランサムウェア攻撃を受けたと報告しています。人間が操作するランサムウェア事件の 71% を考えると 管理対象外のデバイスによって起動される、それは深刻な問題です。
最近、これほど多くのデバイスがITセキュリティの脅威にさらされているのはなぜでしょうか。パンデミックで世界がひっくり返る直前の2019年、 フォレスターの調査によると 回答者の 69% が、ネットワーク上のデバイスの半分以上が管理対象外であるか、または可視外の IoT デバイスであると回答しました。同じ調査では、26% がネットワーク上の管理対象デバイスの3倍の数の管理対象デバイスを所有していると回答しました。
しかし、新型コロナウイルスの影響で従業員の自宅勤務が広範囲に拡大したため、デバイスの数は爆発的に増加し、NYC Cyber Commandのような組織もその傾向に気づきました。 デバイスの数が7倍に増加している 攻撃対象領域を管理し、それに応じて拡大する必要があります。リモートユーザーは、申告されていない個人用デバイスを介してアプリケーションに接続している可能性があります。あるいは、それらのデバイスに VPN エージェントやあらゆる種類のクライアントを導入したくない、または導入できない可能性があります。
しかし、管理対象外デバイスの急増の原因はパンデミックだけではありません。合併や買収が増えるにつれて、管理されていない資産の数も増加し、セキュリティ上の課題が増大しています。IT チームはエージェントを配置するだけでなく、エージェントを最新の状態に保つ必要もあります。そして当然のことながら、そうしなければ、エージェントは技術的な脆弱性を抱え、リスクを招きかねません。もう 1 つの問題は、サードパーティを利用して業務を行う組織が増えていることにあります。繰り返しになりますが、これらのサードパーティ契約パートナーは、他の組織が設定した管理対象デバイスを使用することはないでしょう。しかし、その組織と取引を行うためには、第三者契約者は特定のアプリケーションサブセットにアクセスする必要があります。
結果は?Finservの組織は、使用されているデバイスに関する情報が不足しているにもかかわらず、作業者が業務を遂行するために必要なアプリケーションやデータへのアクセスを提供する必要があります。多くの場合、ユーザーのデバイスに関連するセキュリティサービスの恩恵を受けられません。
セキュリティチームが環境内のデバイスの可視化と制御に苦慮している中、攻撃者は絶好の機会をつかんでいます。チェックされずに放置された管理されていないデバイスは、企業ネットワークに大きな (そして防ぐことのできる) 危険をもたらします。
リスク 含む:
- データ漏洩の可能性の増加
- 不正アクセスにさらされているネットワーク
- 通常のパッチ適用が難しく、不可能でさえある
しかし、危険が迫っているにもかかわらず、多くのフィンサーブ組織は十分な速さで行動していないか、まったく行動していません。
データ元 ZKリサーチ によると、ITチームのほぼ半数が、ネットワークにどのデバイスがあるかを推測しているだけか、既存のソリューションを「MacGyver」して可視化しようとしたことがあるということです。明らかなのは、こうしたアプローチは機能しないということです。VPNの機能を拡張するだけでは、かつては管理対象デバイスと管理対象外デバイスからのアクセスを保護する定番の方法でしたが、それだけでは効果がありません。たとえば、パンデミックが始まったとき、VPNは圧倒され、リモートワーカーの爆発的な増加によるトラフィックの増加に対応できませんでした。その結果、VPNが提供する保護を喜んで回避したユーザーは利用できなくなりました。
さらに、 VPNは十分なセキュリティを提供しないだけです —いったんユーザー/デバイスが侵入すれば、それは信頼されるという原則に基づいて動作しますが、これは安全で管理された環境とはほど遠いものです。このシナリオでは、finserv 組織はマルウェアが既にデバイスを侵害しているかどうかを知りません。そのため、攻撃者はアクセスが許可されている接続タイプを悪用する可能性があります。ユーザーがログインするとすぐに、潜在的な攻撃が王国への完全な鍵を握り、VPN がアクセスを許可したアプリケーションやネットワーク全体に及ぶ可能性があります。管理対象外のデバイスへの安全なアクセスを提供する方法のひとつは、 ゼロトラストネットワークアクセス (ZTNA)。
ZTNA を使用すれば、すべてのユーザーとデバイスが (認証されるまでは) 疑わしいと仮定し、そのユーザーが必要とするアプリケーションへの接続のみを許可することで、リモートワークを再定義できます。隔離技術と組み合わせることで、ユーザーをプライベートアプリケーションから切り離すことができるため、組み込みのセキュリティ制御で接続が認証されるようになります。これにより、脅威アクターはユーザーのデバイスやアプリケーションにアクセスできなくなり、セキュリティチームはアクセスをきめ細かく制御できるようになります。つまり、アプリ内でのユーザーのアクティビティを制限して、ユーザーはデータの読み取りのみを許可し、データのアップロードやダウンロードはできないようにすることができます。わかりやすくするために、各自の業務に必要なアプリケーションにのみアクセスできる中央の URL をユーザーに提供できます。この戦略により、ユーザーエクスペリエンスが簡単になり、攻撃対象領域が劇的に減少します。
管理対象外のデバイスを保護する場合は、次の原則に留意してください。
そこにたどり着くには計画が必要です。
セキュリティチームが、パンデミックによって生み出された管理対象外のデバイス(請負業者が使用する子供のラップトップや、役員が企業のプライベートアプリケーションやデータにアクセスするために使用するスマートフォンなど)を奪い取ろうとしているのか、M&Aを通じて買収した従業員が使用するデバイスや、パートナーシップの結果として登場したデバイスを管理しようとしているのかに関わらず、これらのチームには「盲目的の」管理を行う余裕はありません。以下のステップを踏むことで、管理対象外のデバイスを管理しやすくなります。
今後の仕事のあり方を反映した戦略を立てましょう。
組織はハイブリッドワーク戦略について話します。その意味と達成方法を定義してください。
セキュリティポリシーを設定します。
ユーザーの業務に必要なアプリケーションへのアクセスを提供しつつ、ユーザーを保護するためのパラメータを設定してください。ポリシーがどのように維持されるかについてのガイダンスを含めてください。ZTNA ソリューションには、ユーザーがアプリケーションにアクセスしている間も常に有効になっているセキュリティ制御が緊密に統合されていることを確認してください。
そこに何があるか理解してください。
環境内のデバイスと資産(または想定される資産)を評価することが重要です。各フィンサーブ組織は、アクセスを提供する必要のあるさまざまなプライベートアプリケーションを持っている可能性があるため、ZTNA がそれらすべてにアクセスできるようにするには、それらのアプリケーションをすべてインベントリしておくことが重要です。最近合併や買収が行われた場合は、その取引に伴ってどのようなアプリケーションやデータが得られたのかを理解するようにしてください。ほとんどの組織には、買収のロードマップ、つまり買収が企業の全体的な戦略にどのように適合するかというロードマップがあります。しかし、M&Aでは見過ごされがちなその他の考慮事項もあります。たとえば、ITシステムや含まれているすべてのデバイスをどのように統合するかなどです。
フープを飛び越える必要のないソリューションを探してください。
証明書の変更や DNS レコードの変更を必要としないものを探してください。
将来を見据えて、金融サービス組織のセキュリティリーダーは、ITチームとユーザーの両方に対応できる方法で、管理対象外のデバイスへの安全なアクセスを簡単に提供できます。唯一の未知数は、どれだけ早くそこにたどり着きたいのかということです。